Dans son plan stratégique 2022-2024, la CNIL aborde la collecte des données personnelles dans le cadre des applications smartphones comme l’un des axes à privilégier. Elle précise que l’objectif consiste à « rendre visibles les flux de données et [à] renforcer la conformité des applications mobiles et de leurs écosystèmes 1». En effet, les pratiques des entreprises offrant ces services reposent non seulement sur le recueil de nombreuses données personnelles mais sont aussi de plus en plus opaques. Ces techniques permettent de localiser l’utilisateur ou encore de recueillir des données sur ses déplacements de manière précise, ce qui peut être à l’origine de risques élevés pour les personnes concernées.
Des risques à ne pas négliger
Bien que toute donnée de géolocalisation ne constitue pas une donnée personnelle, les données de géolocalisation collectées par les applications mobiles sont considérées comme telles du moment où elles permettent de remonter à la personne concernée directement ou par recoupement avec d’autres informations.
La localisation semble d’ailleurs constituer l’une des données les plus collectées sur l’utilisateur. Lors du téléchargement des applications mobiles, il est en effet facile de récupérer cette donnée. Bien que certaines applications disposent de raisons légitimes permettant de justifier cet accès, d’autres procèdent à cette collecte sans que cela ne soit indispensable pour le service proposé. Et même dans le cas où le recueil de ces données est justifié, il doit être limité à des moments bien précis et aux seules données strictement nécessaires. L’intensité et la fréquence d’accès à cette information ont ainsi été remises en cause dans une étude publiée par la CNIL en raison de leur excessivité 2. Les fois où il y a eu accès à ces données sont nombreuses, et il ne s’agissait pas d’applications de navigation ou d’itinéraire. Au vu de la nature de ces données, cette collecte constitue en quelque sorte une atteinte à l’intimité, ce qui n’est pas sans conséquence pour les individus.
D’ailleurs, le G29 (CEPD actuellement) avait reconnu en 2011 le caractère sensible de ces données, bien qu’elles ne figurent pas dans la liste de l’article 9 du RGPD. En effet, suivre la personne dans ses déplacements au quotidien permet de déduire des informations très précises la concernant. Certaines de ces informations peuvent même concerner des catégories particulières de données personnelles, telles que les convictions religieuses, les convictions philosophiques ou encore des données de santé. Pour cela, le recueil de ces données doit se faire dans le strict respect des exigences applicables en la matière.
La CNIL a ainsi prononcé une amende de 175 000 euros à l’encontre de la société Ubeeqo International pour avoir géolocalisé ses clients de manière quasi permanente et méconnu notamment l’obligation relative à la minimisation de la collecte 3.
Des règles strictes à respecter
Le recours à un dispositif de géolocalisation dans les applications mobiles implique que les entreprises mettent en place un certain nombre de mesures afin d’éviter un traitement non autorisé des données :
- Informer les personnes concernées de la collecte et du traitement de leurs données personnelles
Cette information doit non seulement contenir toutes les mentions nécessaires au titre du RGPD mais doit également respecter les exigences liées à la forme de l’article 12 dudit texte. En effet, l’utilisateur doit pouvoir accéder à cette information sans devoir effectuer un effort particulier et les informations nécessaires doivent être affichées préalablement au recueil des données afin de permettre à la personne concernée de décider en connaissance de cause quant à la communication ou pas de ses données.
- Collecter les données strictement nécessaires
En application du principe de minimisation, seules les données personnelles qui sont strictement nécessaires au regard des finalités doivent être collectées. Ainsi, lorsque la finalité peut être atteinte sans le recueil des données de géolocalisation, leur collecte n’est pas tolérée.
- Conserver les données pendant la durée nécessaire
Les données personnelles, dont les données de géolocalisation, ne peuvent être conservées que pendant la durée nécessaire à l’atteinte des finalités. Passé ce délai, les données doivent être supprimées, à moins qu’il ne soit nécessaire de les archiver.
- Définir une base légale
Comme pour toutes les données personnelles, il n’est possible de collecter et d’utiliser les données de géolocalisation que si le responsable de traitement a le droit de le faire. Ceci exige de respecter l’une des conditions de licéité de l’article 6 du RGPD. De manière générale, la collecte de données de géolocalisation par les applications mobiles nécessite au préalable l’obtention de l’accord de la personne concernée, à moins que les données ne soient anonymisées ou que leur collecte ne soit tolérée pour des finalités liées à la sauvegarde de la sécurité publique et que cette utilisation soit nécessaire, appropriée et proportionnée.
Ce consentement doit être collecté pour chaque finalité pour répondre au critère de spécificité du consentement. Ainsi, les raisons pour lesquelles ces données sont recueillies doivent être affichées et l’utilisateur doit pouvoir donner son accord pour chacune d’elle. Il doit pouvoir également choisir le niveau de détails recueillis, à savoir le pays, la ville, le code postal, etc… Dans ses lignes directrices de 2011, le G29 avait recommandé en plus que l’information sur l’activation de cette fonctionnalité soit affichée via une icône tant qu’elle est activée et que cette icône soit visible sur chacun des écrans. Par ailleurs, l’utilisateur doit avoir la possibilité de revenir sur son choix à tout moment tout en ayant la possibilité de continuer à utiliser l’application. Il doit en plus pouvoir procéder à la suppression de toute donnée de localisation stockée sur le dispositif de manière définitive.
Cas spécifique : le consentement des enfants
Le RGPD entend assurer une protection renforcée des mineurs en ce qu’ils sont moins conscients des risques que peut engendrer le traitement de leurs données personnelles ou encore des droits dont ils bénéficient. Le traitement de données personnelles appartenant à un enfant âgé de moins de 16 ans n’est en effet licite que si le consentement a été donné par le titulaire de la responsabilité parentale.
Le fournisseur de l’application doit alors notifier les parents de cette collecte et de l’usage des données de géolocalisation appartenant à leur enfant ainsi que de la nécessité de recueillir leur consentement avant tout usage. Dans tous les cas, cette surveillance doit être limitée et il ne peut être toléré que les enfants soient surveillés de manière excessive induisant une atteinte à leur autonomie. Un équilibre doit ainsi être assuré entre la protection de l’intimité des enfants d’une part et leur sécurité d’autre part.
- Sécuriser les données collectées
Des mesures de sécurité adaptées doivent être mises en place afin d’assurer un niveau de sécurité suffisant des données. Ces mesures de sécurité doivent être adaptées aux risques que la collecte de données de géolocalisation peut engendrer.
- Réaliser une analyse d’impact
Les traitements portant sur des données de localisation à large échelle figurent parmi les opérations listées par la CNIL dont la mise en place nécessite la réalisation préalable d’une analyse d’impact sur la protection des données 4. L’exemple des applications mobiles qui permettent de collecter les données de géolocalisation des utilisateurs est cité de manière précise. De tels traitements ne peuvent ainsi être mis en place que si le résultat de l’analyse révèle un risque acceptable et que le PIA peut être validé.
- Ne transférer les données que si ce transfert est licite
Certains dispositifs utilisés peuvent permettre un transfert des données de localisation à des tiers. Ce transfert ne doit se faire que s’il répond aux conditions de licéité du traitement. Dans ses lignes directrices relatives à l’utilisation de données de localisation dans le cadre de la pandémie de COVID-19 5, le CEPD rappelle que les données de localisation collectées ne peuvent être transmises à des tiers que si elles ont été anonymisées par le fournisseur de service ou que le consentement préalable des personnes concernées ait été collecté pour les données précisant la position géographique de l’équipement terminal d’un utilisateur. Il ajoute que le stockage d’informations dans le terminal utilisé par l’utilisateur ou l’accès à des informations qui y sont présentes n’est autorisé que si l’utilisateur a donné son consentement ou que l’accès est nécessaire pour le service demandé par l’utilisateur.
Une étude a d’ailleurs été lancée par la CNIL sur les données de géolocalisation qui sont recueillies par des applications mobiles. Après avoir constaté qu’il est facile de recevoir des données de géolocalisation, elle a demandé à recevoir un jeu de données de géolocalisation présentées comme anonymisées, auprès d’un data broker pour savoir si ces données peuvent permettre de réidentifier les personnes concernées. Cette action s’inscrit dans les missions de la CNIL consistant entre autres à sensibiliser le public sur les enjeux liés à la protection des données personnelles. Des conseils sont également fournis sur son site pour permettre aux utilisateurs des téléphones mobiles d’effectuer les bons réglages de leur appareil, et de choisir notamment les paramétrages de géolocalisation les plus adéquats.
1 Plan stratégique 2022-2024 de la CNIL
2 Etude sur les données de géolocalisation publiée par la CNIL
3 Amende de la CNIL de 175 000 euros à l’encontre de la société Ubeeqo International
4 Liste de la CNIL des types d’opérations de traitement pour lesquelles un PIA est requis
5 Lignes directrices du CEPD relatives à l’utilisation de données de localisation lors du Covid-19
